PSD2

Einheitliche Standards für die Sicherheit elektronischer Zahlungen

Am 11. September 2019 wird die sogenannte "zweite Stufe" der Umsetzung der "Zweiten EU-Zahlungsdiensterichtlinie (PSD2)" wirksam. Ziel ist die Schaffung einheitlicher Standards für die Sicherheit elektronischer Zahlungen sowie die Verbesserung des Verbraucherschutzes im Europäischen Wirtschaftsraum. Damit wird das Online-Banking, die VR-BankingApp sowie das Online-Shopping mit Kreditkarte noch sicherer. Außerdem wird dritten Zahlungsdienstleistern die Möglichkeit gegeben, Ihnen neue Services anzubieten. Verschaffen Sie sich hier einen Überblick über die wesentlichen Neuerungen.

Anmeldung zum Online-Banking zukünftig mit TAN erforderlich

Zur Erhöhung der Sicherheit müssen Sie sich ab dem 11. September 2019 somit in bestimmten Fällen bei der Anmeldung auch mit einer Transaktionsnummer (TAN) legitimieren. Wenn Sie regelmäßig TANs erzeugen, ist dies problemlos möglich. Fragen Sie Ihr Konto dagegen immer nur ab, muss gewährleistet sein, dass Sie Zugriff auf ein aktives TAN-Verfahren haben. Bitte prüfen Sie hierzu in der Online-Banking Anwendung unter "Service" - "TAN-Verwaltung", ob dies der Fall ist. TANs bei der Anmeldung sind immer kostenfrei.

Änderungen durch die PSD2

Online-Banking

TAN-Eingabe beim Login zum Online-Banking

Ab 11. September müssen Sie beim Login zum Online-Banking neben Ihren gewohnten Anmeldedaten (VR-NetKey/Alias und PIN) alle 90 Tage zusätzlich eine TAN eingeben.

Beispielhafte Darstellung der TAN-Eingabe beim Login ins Online-Banking

TAN-Eingabe bei Umsatzabfrage und beim Aufruf des Finanzmanagers

Die Regelungen der "Zweiten EU-Zahlungsdiensterichtlinie (PSD2)" sehen vor, dass bei Abruf von Umsatzdaten ein TAN eingegeben werden muss, wenn die Umsätze mehr als 90 Tage zurückliegen.

Der Finanzmanager im Online-Banking zeigt Ihnen die Umsätze der letzten 13 Monate an. Aus diesem Grund wird beim Aufruf des Finanzmanagers im Online-Banking immer eine TAN abgefragt.

Automatische Abmeldung aus dem Online-Banking

Bisher wurden Sie aus Sicherheitsgründen nach 15 Minuten Inaktivität automatisch aus dem Online-Banking ausgeloggt. Ab dem 11. September findet der automatische Logout bereits nach fünf Minuten Inaktivität statt.

VR-BankingApp

TAN-Eingabe beim Login in die VR-BankingApp

Auch in der VR-BankingApp müssen Sie künftig grundsätzlich alle 90 Tage zusätzlich eine TAN zum Login eingeben.

Ausnahme: Die TAN-Eingabe beim Login entfällt, wenn ...

  • ... Sie die Funktion "Kwitt" in der VR-BankingApp nutzen.
  • ... eine Gerätebindung zwischen der VR-BankingApp und Ihrem Gerät (Smartphone/Tablet) hergestellt wird. Diese Gerätebindung können Sie mit der App-Version 19.15 (voraus. ab Ende August 2019) in den Einstellungen der VR-BankingApp einrichten. Zusätzlich wird Ihnen bei jedem Start der App ein Hinweis zur Einrichtung der Gerätebindung angezeigt.

    Unser Tipp: Registrieren Sie sich bei Kwitt oder aktivieren Sie die Gerätebindung – so bleibt der Login in der VR-BankingApp weiterhin ohne TAN möglich.

 

Hinweis: Der Finanzmanager steht Ihnen ab 11. September vorerst nicht mehr in der VR-BankingApp zur Verfügung.

Online-Shopping mit Kreditkarten

Änderung beim Online-Shopping mit Kreditkarte

Mit Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) ist das Online-Shopping mit Kreditkarte bereits heute schon einfach und sicher möglich. Für diese beiden Verfahren zur Authentifizierung von Kreditkartenzahlungen gibt es die Lösung via SMS oder Push-Nachricht in der VR-SecureCARD App. Zukünftig wird beim Online-Shopping mit Kreditkarte Mastercard® Identity Check™ sowie Verified by Visa (zukünftig Visa Secure) verpflichtend. Über die folgenden Links können Sie sich in wenigen Schritten hierfür registrieren.

Quelle: DZ BANK (Stand: Mai 2019)

Drittanbieter

Drittanbieter als Zahlungsdienstleister

Ein Zahlungsauslösedienst (ZAD oder auch Payment Initiation Service Provider (PISP)) ist ein Dienst, der – Ihre Einwilligung vorausgesetzt – einen Zahlungsauftrag wie zum Beispiel eine Überweisung auf ein bei einem anderen Zahlungsdienstleister geführtes Zahlungskonto auslöst. Die Zahlung wird aber nur ausgeführt, wenn Sie dies zuvor erlaubt und mit einer Zwei-Faktor-Authentifizierung abgeschlossen haben. Diese Zahlungsauslösedienstleister müssen künftig von der nationalen Finanzaufsicht zugelassen und beaufsichtigt werden.

Drittanbieter als Kontoinformationsdienstleister

Ein Kontoinformationsdienst (KID oder auch Account Information Service Provider (AISP)) ist ein Online-Dienst zur Mitteilung konsolidierter Informationen über Zahlungskonten, die Sie entweder bei einem anderen Zahlungsdienstleister bzw. einer anderen Bank oder bei mehreren Zahlungsdienstleistern bzw. mehreren Banken haben. Dieser gibt Ihnen in der Regel anhand Ihrer Kontodaten einen Überblick über Ihre aktuelle finanzielle Situation. Dafür darf er bis zu vier Mal am Tag Informationen von Ihrem Konto wie zum Beispiel Salden oder Umsätze abrufen, ohne dass Sie nochmals aktiv zustimmen. Diese Drittdienstleister müssen sich künftig bei der nationalen Finanzaufsicht registrieren.

Drittanbieter als kartenausgebende Zahlungsdienstleister

Mit Ihrer girocard (Debitkarte) und Kreditkarte verfügen Sie bereits über Zahlungsmittel mit Zugriff auf Ihr Konto. Zukünftig werden Sie auch neue Angebote von Zahlungskarten erhalten, beispielweise von Transportunternehmen wie der Deutschen Bahn, Fluggesellschaften oder Einzelhandelsketten. Wenn Sie dann mit diesen Zahlungskarten bezahlen, kann der kartenausgebende Zahlungsdienstleister die Verfügbarkeit des Kaufbetrages bei Ihrer Volksbank Ludwigsburg eG anfragen. Der Kaufbetrag wird dabei aber nicht reserviert. Sie müssen dazu jedoch zuvor dem Drittanbieter im Online-Banking die Erlaubnis erteilen, und zwar unter "Service > Konten und Verträge > Zugriffsverwaltung > Verfügbarkeitsabfragen > Neue Berechtigungen erteilen".

Zugriffsverwaltung im Online-Banking: Drittanbieter steuern

Grundsätzlich dürfen dritte Zahlungsdienstleister nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. Ihre Zustimmung gilt erst als erteilt, wenn Sie die vom Drittanbieter bei Ihrer Bank angeforderten Informationen mit einer starken Kundenauthentifizierung bestätigt haben. Zudem muss der Drittanbieter bei der nationalen Aufsichtsbehörde registriert sein und sich gegenüber Ihrer Volksbank Ludwigsburg eG legitimieren können. Für einen weiteren Kontozugriff benötigt der Drittanbieter nach spätestens 90 Tagen erneut Ihre vorherige Zustimmung mittels starker Kundenauthentifizierung.

Mit der Zugriffsverwaltung im Online-Banking im Bereich "Service > Konten und Verträge > Zugriffsverwaltung" können Sie jederzeit kontrollieren, welchen Drittanbieter Sie berechtigt und welche Zahlungen Drittanbieter durchgeführt haben. Sie können dort auch Zugriffsberechtigungen wieder entziehen. Ihnen stehen diese Daten bis 180 Tage rückwirkend zur Verfügung. Die Zugriffsverwaltung im Online-Banking ist wie folgt strukturiert:

  • Verfügbarkeitsabfragen,
  • Kontoinformationsabfragen und
  • Zahlungsauslösungen.

Strukturierung der Zugriffsverwaltung

In diesem Bereich im Online-Banking sehen Sie, welche Berechtigungen Sie dritten Zahlungsdienstleistern sowie Unternehmen der Genossenschaftlichen FinanzGruppe gegeben haben. Sie können hier neue Berechtigungen erteilen oder bestehende entziehen. Wenn dritte Zahlungsdienstleister und Unternehmen der Genossenschaftlichen FinanzGruppe Ihre Berechtigung genutzt haben, ist das hier auch aufgelistet.

Kontoauswahl Hier wählen Sie aus, für welches Zahlungskonto Informationen angezeigt werden sollen. Wenn zu dem Konto keine Berechtigungen erteilt worden sind, wird nur die Möglichkeit "Neue Berechtigung erteilen" angeboten.
Bereich unterhalb der Kontoauswahl Hier sehen Sie, für welche kartenausgebenden Zahlungsdienstleister Berechtigungen erteilt wurden. Mit Klick auf "+" können Sie sich weitere Informationen anzeigen lassen oder Berechtigungen sperren.
Neue Berechtigungen erteilen Unterhalb der Kontoauswahl steht Ihnen die Möglichkeit zur Verfügung, einem dritten Zahlungsdienstleister die Abfrage zu erlauben, ob ein bestimmter Betrag auf Ihrem Konto verfügbar ist. Die Anzahl der Abfragen ist unbeschränkt.

Was Sie jetzt tun müssen

Grundsätzlich finden die beschriebenen Änderungen automatisch statt – Sie müssen nichts weiter tun.
Ausnahme: Wenn eine der nachfolgenden Aussagen auf Sie zutrifft, sollten Sie tätig werden.

Sie haben kein TAN-Verfahren oder Ihre vorhandenen TAN-Verfahren sind gesperrt

Sie haben kein TAN-Verfahren oder Ihre vorhandenen TAN-Verfahren sind gesperrt.

Kunden, die kein TAN-Verfahren haben oder deren TAN-Verfahren gesperrt sind, können sich nach dem 11. September ab der ersten TAN-pflichtigen Anmeldung nicht mehr in das Online-Banking einloggen. Im Online-Banking können Sie unter dem Navigationspunkt Banking > Service > Online-Banking >TAN-Verwaltung nachsehen, welche TAN-Verfahren Sie besitzen und ob diese aktiv oder gesperrt sind.

  • Sollten Sie kein TAN-Verfahren haben, aktivieren Sie das kostenlose App-basierte TAN-Verfahren SecureGo oder bestellen Sie einen kostenpflichtigen Sm@rt-TAN photo-Generator. Informationen zu SecureGo finden Sie hier, das Bestellformular für den TAN-Generator finden Sie hier.
  • Sollten Ihre TAN-Verfahren gesperrt sein, wenden Sie sich bitte zur Entsperrung an uns.
Sie besitzen eine Kreditkarte und nutzen diese für Online-Einkäufe

Sie besitzen eine Kreditkarte und nutzen diese für Online-Einkäufe.

Ab dem 11. September können Sie Ihre Mastercard® bzw. Visa-Karte nicht mehr zum Online-Shopping verwenden, wenn Sie nicht für das Sicherheitsverfahren Mastercard® Identity Check™ bzw. Verified by Visa (zukünftig Visa Secure) registriert sind. Ausführliche Informationen und die Möglichkeit zur Registrierung erhalten Sie über die nachstehenden Links.

Sie nutzen noch einen Sm@rt-TAN plus-Generator oder das mobileTAN-Verfahren

Sie nutzen noch einen Sm@rt-TAN plus-Generator.

Die gute Nachricht: Auch nach den neuen Regelungen können Sie Ihren alten Sm@rt-TAN plus-Generator weiterhin verwenden. Jedoch ist die TAN-Erzeugung mt dieser Geräte-Generation eher unhandlich.

Unser Tipp: Bestellen Sie sich einen Sm@rt-TAN photo-Generator. Dieser Gerätetyp ist weniger störanfällig und die TAN lässt sich wesentlich einfacher erzeugen. Außerdem können Sie ihn auch für andere Bankverbindungen einsetzen.

Sie nutzen noch das mobileTAN-Verfahren per SMS

Auch hier gilt zwar, dass Sie das mobileTAN-Verfahren nach den neuen Regelungen vorerst weiter nutzen können. Allerdings wird dieses Verfahren perspektivisch abgeschaltet. Zudem ist es bereits heute nicht möglich, Transaktionen und andere TAN-pflichtige Vorgänge in der VR-BankingApp mit einer mobileTAN freizugeben.

Unser Tipp: Steigen Sie jetzt auf das App-basierte TAN-Verfahren VR-SecureGo um. Nach der einmaligen Einrichtung erhalten Sie Ihre TAN nicht mehr per SMS, sondern als Push-Nachricht auf Ihr Smartphone oder Tablet. Außerdem können Sie damit auch TAN-pflichtige Vorgänge in der VR-BankingApp freigeben.

Häufige Fragen zur PSD2

Was bedeutet PSD2?

Am 13. Januar 2018 sind aufgrund europäischer Vorgaben mit der "Payment Services Directive2" (PSD2) bzw. dem "Gesetz zur Umsetzung der zweiten Zahlungsdiensterichtlinie" neue gesetzliche Bestimmungen für die Erbringung von Zahlungsdiensten in Kraft getreten. Kontoführende Zahlungsdienstleister, zu denen auch die Volksbanken und Raiffeisenbanken zählen, müssen ab dem 14. September 2019 Drittanbietern einen Zugang zu den Konten ihrer Kunden zur Verfügung stellen – vorausgesetzt, die Kunden haben ihnen dafür eine Erlaubnis erteilt. Zuvor waren die Daten der Bankkunden durch das Bankgeheimnis grundsätzlich geschützt. Jetzt kann der Kunde aber im Sinne seiner eigenen Daten-Souveränität selbst entscheiden, ob er die Daten bzw. seine PIN an Drittdienste weitergeben möchte. Ihre Erlaubnis vorausgesetzt, erfolgt dann der Zugriff dieser Drittdienste über eine technische Schnittstelle Ihrer Volksbank Ludwigsburg eG. Mit dieser Schnittstelle werden natürlich die hohen Sicherheitsstandards weiterhin gewahrt.

Kann ein Drittanbieter, also zum Beispiel ein Zahlungsauslösedienst oder ein Kontoinformationsdienst, ohne meine Zustimmung auf meine Konten zugreifen?

Nein, ein Drittanbieter kann grundsätzlich nur mit Ihrer vorherigen Zustimmung auf Ihre Kontodaten zugreifen. In unserem Online-Banking steht Ihnen eine entsprechende Zugriffsverwaltung zur Verfügung, mit der Sie beispielsweise auch Drittanbietern Zugriffsberechtigungen wieder entziehen können.

Warum steht der Finanzmanager in der VR-BankingApp nicht mehr zur Verfügung?

Mit der Veröffentlichung der neuen Version der VR-BankingApp voraussichtlich im August 2019 steht der Finanzmanager in der App nicht mehr zur Verfügung. Der Grund dafür: Im Finanzmanager werden die Umsätze immer 13 Monate rückwirkend angezeigt. Folglich müsste bei jedem Abruf eine TAN abgefragt werden. Dies ist für Smartphone-Nutzer nicht praktikabel. Der Zugriff auf den Finanzmanager ist aber weiterhin im Online-Banking möglich.

Was bedeutet "2-Faktor-Authentifizierung"?

Mit der PSD2 werden die Anforderungen an die Authentifizierung der Kunden bei Zahlungen verschärft. Authentifizierung bedeutet, dass nicht nur Sie als Auftraggeber identifiziert werden, sondern dass auch die inhaltliche Richtigkeit Ihrer Willenserklärung geprüft wird. 2-Faktor-Authentifizierung bzw. starke Kundenauthentifizierung bedeutet, dass Sie sich mit zwei von drei möglichen Faktoren "ausweisen" müssen:

  • "Wissenselemente": etwas, das nur Sie wissen, wie zum Beispiel eine PIN,
  • "Besitzelemente": etwas, das nur Sie besitzen, wie zum Beispiel Ihre girocard (Debitkarte) mit TAN-Generator oder ein Mobiltelefon, an das eine TAN übermittelt wird, oder
  • ein "Seinselement" ("Inhärenz"), also etwas, das nur Sie sind, wie zum Beispiel Ihr Fingerabdruck als biometrisches Merkmal.